6. 有固定、有效风险控制、高效的管理流程,是否必须要有书面制度
前言
上市辅导咨询工作中,遇到的最高频词汇之一就是“内控”。上交所和深交所对IPO企业要求的发行条件中均有这样一条明确也是硬性的规定——企业内部控制制度健全且被有效执行,会计师事务所需要对企业内控出具鉴证报告。因此,无论是咨询机构、上市审计的会计师事务所、保荐机构、准备上市的企业人员无不时常把“内控”这个词挂在嘴边。那“什么是内控呢?”,却没有几个人能讲明白,能向广大中小企业管理者及各岗位业务人员解释清楚“什么是内控”的人更少。尽管相关监管部门发布了《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制审计指引》、《企业内部控制评价指引》等规范性及指导性文件,但这些文件更多是告诉企业应该怎么做以及作为专业机构的工作标准,而不能浅显易懂的告诉企业的广大人员为什么要这么做,要知道,中小企业的绝大多数人(包括管理者在内)并没有对内控的专业理解。笔者也经常被一些大胆的企业人员问道“什么是内控”。为什么说是被大胆的企业人员问道呢?因为很多时候,在企业做咨询,企业人员以及一些咨询者看“内控”就如同看“皇帝的新装”——既然内控是被高频提到的一个基础问题,大家都认为是一种常识,都以为是大家默认应该知道的,一说就是“这是内控问题”“要做好内控”云云,没有去解释“什么是内控”,大家也就照听、照做或不做,不去管他有无道理和有什么作用。所以,能够好意思说出自己不知道什么是内控的人就很少,就像《皇帝的新装》中除了那个小孩儿没有人敢说“我看见皇帝没有穿衣服”。但是,要能够顺利推进企业的内部控制建设,有必要向企业或者参与企业内控建设的人员对内部控制概念进行培训,使得大家从理念上对内控进行认知和认同,以使企业全面和深入理解内部控制对于企业的必要性和作用,并且能够在各业务环节、各部门、各岗位工作中得到主动落实。下面说说笔者对内控的理解(这也是笔者在咨询工作中给企业培训的理念)。
(一) 什么是内控
管理是稳定和常态的,那就需要标准,而不是管理者随意决定和三天两头改变,因此,就需要将管理形成制度,作为管理标准;有了制度,如何将制度有效执行以及形成管理工具,那就需要将制度变成管理流程,因为管理的日常工作主要是分工、授权和职责的明确;有了流程,如何确保流程的严格执行,不会因为人情、惰性等人为因素干扰而随意更改或者绕过流程,同时,流程意味着处理事务需要时间、人工等程序过程和工作量,特别是跨部门、跨地域的工作流程化之后,执行流程需要的时间和人工成本更高,如何将流程固化下来同时又提高执行流程的时间效率和节约人工成本,那就需要信息化管理软件将流程锁定以及将很多人工执行的工作交给软件运行,比如ERP软件、CRM软件等。既然信息化管理软件可以锁定管理流程以及提高管理效率,是不是内控水平差的企业直接上管理软件就可以?当然不是,“管理制度化—制度流程化—流程信息化”三者是顺序递进的关系,前两者的递进关系好理解,在此就不赘述了,说说为什么不能直接上管理软件。如果企业没有形成管理制度和流程,员工不知道管理的标准是什么,对如何执行各岗位的工作才是正确的不清楚,那管理软件中的流程如何设置或者设计,如何分工和授权,不清楚;可能大家会认为,信息化管理软件中都有标准化的流程,按照管理软件中的流程执行不就行了,管理软件中的流程是标准化的,但是每家企业的经营管理环境各不相同,一是管理软件中固有的标准化流程并不适合每家企业,二是企业固有的制度和流程都没有做到,怎么可能执行好管理软件中的流程。所以,企业的管理流程化没有做到时,直接上管理软件,要么大家对软件中的流程不理解,只是应付,软件流程成了形式主义或者没有发挥出软件的效用,要么为了利用管理软件进行管理,大家疲于完成软件中设置的工作,不但软件效用没有用起来,反而成了工作中的拖累。因此,管理信息化是企业内控管理的最后一步,信息化管理软件本身不能提高企业的内控水平,内控水平取决于企业的管理流程化,管理软件只是流程化的载体,提高的只是执行效率,而非管理水平。只有企业管理水平达到了,采用软件固化管理流程,才能实现管理与软件的结合,发挥软件在管理中的效用,而不能本末倒置。这就好比只有武功高强的人才能驾驭绝世兵器,而不是绝世兵器能够提高武功。
(二) 什么样的企业具备做好内控的条件
其实,对于任何规模和管理水平的企业而言,均可以做好内控。内控不是固化一成不变的,更没有绝对的标准,做好内控的唯一标准就是——在企业的每个发展阶段以及对于不同特征的企业而言有适合其现状的
内控管理,即内控要适应企业的规模、特征和发展阶段。
什么样的企业需要什么样的内控,要考虑必要性、实用性、适应性和经济性。比如,不是每家企业都适合花高额成本上ERP系统,一个功能简单的廉价会计做账软件也可以做好供应链管理、会计核算和财务管理,在家庭企业用信得过的“小姨子”、“小舅子”做财务负责人也是有效内控。那么,对于具备一定规模准备上市的企业来说,需要具备什么样的条件才能做到符合上市要求的内控呢?上市意味着企业不再是老板一个人或者少数几个股东所有,而是同时归大量中小股东所有,如何确保中小股东的利益得到维护,就需要完善且有效的内控管理机制。准备上市的企业全面做好内控需要具备三个基本条件——完整的组织架构及人员配备、比较完整的管理制度、具备信息化管理的条件。这三个条件不要绝对的去理解,而是要灵活运用。比如,是不是所有企业应该按照大规模的上市企业样板建立一堆部门和设置一堆岗位呢?不是,而是结合企业的实际情况把自己企业的机构设置、人员配备、权责分配、不相容职务的分离情况是能够实现有效内控的解读清楚。因此,内控的标准不是企业的部门设置和人员配备符合什么形式,而是企业是否能够实现有效内控,只要能做到,形式千差万别。在很多情况下,内控被贴上如下标签:内控就是制度、要求、规定、麻烦、增加了工作量、增加成本、不方便、多此一举、没有实际意义、不愿意执行……这是内控形式主义的疑问。出现这样的疑问的原因是内控定位错位,内控是服务于业务,而不是限制业务(除特别限定外,本文中“业务”是指经营管理活动中的所有工作事项),要本着业务实质重于形式的前提做内控,从业务合理性出发制定内控措施,提高业务的便利性,内控措施才具有可操作性。做内控要具有服务意识,除了内控要求本身要具有业务便利性和可操作性外,内控管理者还要解决业务人员如何有效执行内控的问题,在推行内控措施前要先了解业务执行人员的困难并为他们解决困难后才推行内控以及对内控做出有针对性的调整,只有解决了业务人员执行内控措施的困难后,内控措施才会得到主动推行,有效执行,内控管理者必须要有这种服务意识。比如,企业与客户签订的年度销售框架合同,日常发货需要有客户订货单,这是内控要求,但日常客户可能就给企业业务员打电话或者发微信要货,每次要的货也不多,而不会发送订货单,客户觉得麻烦;为了使得按照订货单提货的内控要求得以有效执行,怎么办呢?内控管理者可以帮助销售部门设计好固定格式的订货单,客户打电话或者发微信提货没问题,业务员将客户通过电话或者微信的要货信息填写在订货单上再通过微信等方式发送给客户,让客户确认并签字盖章拍照发送给企业业务员就可以视为具有法律约束力的有效订货单。要把外在的内控制度和流程融入员工的认知形成操守,这才是最为有效的内控,那么,内控措施对于执行人员应该是有利的,而不是不利的。
会计核算对内控的要求通常容易与业务人员发生冲突,比如会计人员要求业务人员要获得客户的验收单,验收单还必须要客户盖章,财务才给开具发票和确认收入,如果这违背了业务实质就成了形式主义给业务执行造成了障碍或者增加了不必要的成本。有的业务在货物出库时就可以确认收入,有的业务必须要获得客户验收单才能确认收入,这取决于具体的业务实质,而非形式上的要求。通常情况下,对于具有通用性、单位价值低、无需进行技术性质检或者安装调试的产品,在没有合同特别约定的情况下,在客户收货签收时或者按照对账单确认收入、运至客户指定地点时确认收入、发货时确认收入,均可以;而对于具有专用性、单位价值高、需技术性质检或者安装调试的产品,在获得客户验收单或者验收期满后确认收入。比如,常见的销售发货模式——客户自提、送货上门,产品是客户定制或者通用标准化的,客户不需要单独对其进行技术性检测,如果会计核算政策统一要求业务人员获得客户的签收单才能确认收入就不符合业务实际,也不便于业务人员执行,增加了业务执行的成本,对此,在会计核算制度以及相关内控制度中应该是明确——客户自提的交易模式下,货物出库装车即可确认收入,确认收入的凭证是出库单、客户提货单或者经司机确认的发货单等单据形式;送货上门的交易模式在获得客户签收单后确认收入,如此内控才符合业务实际及具有合理性。必须要明确的是内控和会计核算是服务于业务,而非去要求和限制业务执行,会计核算只是如实的反映业务事实,而不是去要求业务事实要符合什么形式,当会计人员与业务人员发生冲突的时候,错的永远是会计——因为,要么是会计对业务人员的要求不合理,会计本身是错的;要么会计人员是对的,业务人员不理解,为什么还是会计错了呢,业务人员不懂内控,他没有责任去理解内控,只是执行者,而会计人员有职责做好内控,会计没有将内控对公司的作用和对业务人员本身岗位的好处讲清楚,业务人员不理解,当然错的是会计。就好比,路口设置红绿灯,首先要评估设置红绿灯是一种最优的方式,如果这个路口一天也没有几辆车经过,设置红绿灯就没有必要,不但没有起到安全且有效的交通次序作用,反而降低通行效率;如果车流量大,设置红绿灯是必要的,一位80岁的农村老奶奶闯红灯,你说错的是谁?不是老奶奶,而是没有人跟她讲清楚绿灯通行的好处——绿灯通行保障生命安全远胜过闯红灯节约的那点时间。一切内控的前提都是要具有业务合理性,而不是违背业务合理性来迎合形式上的流程和制度要求,这也才符合《企业内部控制基本规范》中列明的适应性原则和成本效益原则。
因此,在理解内控的作用前,企业必须明确内控的定位。
就内控在企业的作用而言,企业的一切管理就是内控,经营管理的最终目的是创造业绩,内控的最终作用即创造业绩,内控水平即反映企业管理水平,这才是内控的本质作用。
(四) 内控指引框架
根据财政部、证监会、审计署、银监会、保监会联合发布的《企业内部控制应用指引》,企业内控涵盖的内容包括组织架构、发展战略、人力资源、社会责任、企业文化、资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递、信息系统等18个章节,覆盖企业经营管理的方方面面。
但是,《企业内部控制基本规范》(介绍内控五要素)是内控的本质,《企业内部控制应用指引》(内控十八章)是参考形式。由于很多人理解形式和按照形式去做更简单,导致有时候《企业内部控制应用指引》成了内控手册,实际上它只是一个与《企业内部控制基本规范》配套的通用化参考形式,并不意味着每家企业完全按照上述应用指引开展内控建设。
只有真正理解了基本规范,才真正懂内控,才能实现符合企业实际的个性化的内控管理,形式则千变万化,不拘于应用指引这一格。
也就是说,现实的企业内控可能少于十八个章节(比如研究与开发、工程项目、业务外包、关联交易等等均没有),也可能远远多于十八个章节(比如费用报销管理、会计核算、仓储管理、生产管理等在十八个章节中均没有直接体现)。
所以,无论基本规范还是应用指引提供的都是内控的含意和基本指引,企业要根据实际情况做内控,不能拘泥于上述十八个章节的参考形式,用发现的眼光去梳理企业的每一项业务比按照应用指引去建设企业内控更重要。
首先,内控制度是确保有效内控的一种主要方式,比如小微企业老板要求所有付款需经过自己签字审批后才能执行,但没有明文规定,要是换了员工呢?不告诉新员工就不知道这样的要求,就丧失了内控;
其次,有制度并不一定代表有内控,有制度不执行就没有内控,比如2020年创业板申报IPO被否掉的企业“仙迪股份”报告期内收入确认进行了大比例调整,与原始报表产生重大差异,解释为会计差错,同时却披露了非常详细的收入确认相关内控制度,说明就是没有执行相关制度才导致的会计差错;反之亦然,有内控并不一定有制度。
(六) 有固定、有效风险控制、高效的管理流程,是否必须要有书面制度首先,内部管理的需要。人员会流动,如何培训新员工,制度即操作手册;有制度权责明确,照章执行,避免纠纷和执行过程中的扯皮、人情干扰。
其次,管理水平体现的需要。制度和执行,是内控的表与里的关系,制度要健全、执行要有效才能表里如一,就好比一个人颜值再高不打扮也难以体现。
第三,对外披露的需要。内控制度为中介机构进行核查提供指引,同时,需要在公告中进行披露以应对IPO审核问询,以及成功上市后持续披露和符合监管要求。
(七) 如何编制内控制度
首先,制度构成。在《企业内部控制基本规范》、《企业内部控制应用指引》的指引下,本着企业行业属性、自身经营属性的特征以及本着必要性、紧急程度的原则,从实际出发,企业需要拟订的必要内控制度可以从以下模块选择:资金、采购、存货、销售、资产管理、会计核算、费用、担保、合同、子公司管理、人力资源、信息系统、关联交易、内部审计、研发,后续酌情拟订的非必要内控制度包括投融资、预算、业务外包、公司治理、发展战略、社会责任及企业文化等。
其次,内控制度需要具备哪些内容。一篇完整的内控制度需要具备目的、适用范围、工作内容、流程、权责分配、考核共六部分内容。
(八) 还没有发生过的情况需不需要建立内控制度
内控就是未雨绸缪,防范于未然;好比犯罪率再低的国家也需要完整的法律制度;因此,内控制度主要作用是预防风险,是事前控制,而非事后亡羊补牢。否则,就是晴天不带雨伞,下雨了怎么办?
首先,认可岗位职责。员工不认可内控要求即不认可岗位职责,难以主动执行制度,即使执行也是貌合神离,内控有效性打折扣。认可岗位职责强调首先内控制度符合业务实际,具有业务合理性,其次内控管理者要让员工认识到内控的作用(对自己和对公司的利益)。
其次,考核。若只有内控要求而没有考核,对于是否严格执行内控就没有约束力,因此,必须要对内控执行进行考核。
扫一扫关注